AWS Control Tower AWS アカウント の について - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower AWS アカウント の について

AWS アカウント は、所有するすべてのリソースのコンテナです。これらのリソースには、アカウントによって受け入れられる AWS Identity and Access Management (IAM) ID が含まれます。この ID によって、そのアカウントにアクセスできるユーザーを決定します。IAM アイデンティティには、ユーザー、グループ、ロールなどがあります。AWS Control Tower で IAM、ユーザー、ロール、およびポリシーを使用する方法の詳細については、「AWS Control Tower の Identity and Access Management」を参照してください。

リソースとアカウントの作成時間

AWS Control Tower は、アカウントを作成または登録すると、そのアカウントに最低限必要なリソース設定をデプロイします。Account Factory テンプレート形式のリソースや、ランディングゾーン内のその他のリソースなどです。これらのリソースには、IAM ロール、 AWS CloudTrail 証跡、Service Catalog でプロビジョニングされた製品、IAM Identity Center ユーザーなどがあります。AWS Control Tower は、コントロール設定に応じて、新しいアカウントがメンバーアカウントになることになっている組織単位 (OU) のリソースもデプロイします。

AWS Control Tower は、ユーザーに代わってこれらのリソースのデプロイをオーケストレートします。デプロイを完了するにはリソースごとに数分かかる場合があるため、アカウントを作成または登録する前に作業の合計時間を考慮してください。アカウントのリソースの管理の詳細については、「AWS Control Tower リソースの作成と変更に関するガイダンス」を参照してください。

既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項

をセキュリティアカウントまたはログアカウント AWS アカウント として受け入れる前に、AWS Control Tower は AWS Control Tower の要件と競合するリソースがないかアカウントをチェックします。例えば、ロギングバケットの名前が AWS Control Tower が必要とする名前と同じである場合があります。また、AWS Control Tower は、アカウントがリソースをプロビジョニングできることを検証します。例えば、 AWS Security Token Service (AWS STS) が有効になっていること、アカウントが中断されていないこと、AWS Control Tower がアカウント内でリソースをプロビジョニングするアクセス許可を持っていることを確認します。

AWS Control Tower は、お客様が指定したログアカウントやセキュリティアカウント内の既存のリソースを削除しません。ただし、 AWS リージョン 拒否機能を有効にすると、リージョン拒否コントロールは拒否されたリージョンのリソースへのアクセスを禁止します。

共有アカウントについて

AWS Control Tower には、管理アカウント、監査アカウント、ログアーカイブアカウントの 3 つの特別な AWS アカウント が関連付けられています。これらのアカウントは通常、共有アカウントと呼ばれ、場合によってはコアアカウントと呼ばれることもあります。

  • ランディングゾーンのセットアップ時に、監査アカウントとログアーカイブアカウントの名前をカスタマイズすることを選択できます。アカウント名の変更については、「AWS Control Tower の外部でのリソース名の変更」を参照してください。

  • ランディングゾーンの初期セットアッププロセス中に、既存の を AWS Control Tower セキュリティまたはログ記録アカウント AWS アカウント として指定することもできます。このオプションを使用すると、AWS Control Tower で新しい共有アカウントを作成する必要がなくなります (これは 1 回限りの選択です)。

共有アカウントおよび関連リソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

管理アカウント

これにより、AWS Control Tower が AWS アカウント 起動します。デフォルトでは、このアカウントのルートユーザーおよびこのアカウントの IAM ユーザーまたは IAM 管理者ユーザーは、ランディングゾーン内のすべてのリソースへのフルアクセス権を持っています。

注記

ベストプラクティスとして、AWS Control Tower コンソール内で管理機能を実行するときには、このアカウントのルートユーザーまたは IAM 管理者ユーザーとしてサインインするのではなく、管理者権限を持つ IAM Identity Center ユーザーとしてサインインすることをお勧めします。

管理アカウントで使用できるロールとリソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

ログアーカイブアカウント

ログアーカイブ共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

このアカウントには、ランディングゾーン内の他のすべてのアカウントのすべての AWS CloudTrail および AWS Config ログファイルのコピーを保存するための中央 Amazon S3 バケットが含まれています。ベストプラクティスとして、ログアーカイブアカウントへのアクセスを制限することをお勧めします。コンプライアンスと調査を担当し、それに関連するセキュリティツールまたは監査ツールを使用するチームに制限します。このアカウントは、自動セキュリティ監査や AWS Config ルール、Lambda 関数などのカスタム をホストして修復アクションを実行するために使用できます。

Amazon S3 バケットポリシー

AWS Control Tower ランディングゾーンバージョン 3.3 以降では、アカウントは監査バケットへの書き込みアクセス許可のために、aws:SourceOrgID 条件を満たす必要があります。この条件により、 は組織内のアカウントに代わって CloudTrail のみ S3 バケットにログを書き込むことができます。これにより、組織外の CloudTrail ログが AWS Control Tower S3 バケットに書き込まれるのを防ぐことができます。詳細については、「AWS Control Tower ランディングゾーンバージョン 3.3」を参照してください。

ログアーカイブアカウントで使用可能なロールとリソースの詳細については、「ログアーカイブアカウントのリソース」を参照してください。

注記

これらのログは変更できません。アカウントアクティビティに関連する監査とコンプライアンス調査の目的で、すべてのログが保存されます。

監査アカウント

この共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

監査アカウントは、セキュリティとコンプライアンスのチームに制限することをお勧めします。チームは、ランディングゾーン内のすべてのアカウントに対して監査人 (読み取り専用) と管理者 (フルアクセス) というアカウント横断的なロールを持ちます。このようなロールは、セキュリティとコンプライアンスのチームが次の目的で使用するためのものです。

  • カスタム AWS Config ルールの Lambda 関数のホストなどの AWS メカニズムを使用して監査を実行します。

  • 修復アクションなど、自動化されたセキュリティ操作を実行します。

また、監査アカウントは Amazon Simple Notification Service (Amazon SNS) サービスから通知を受け取ります。次の 3 つのカテゴリの通知を受け取ることができます。

  • すべての設定イベント – このトピックでは、ランディングゾーンのすべてのアカウントからのすべての CloudTrail および AWS Config 通知を集約します。

  • セキュリティ通知の集約 – このトピックでは、特定の CloudWatch イベント、 AWS Config ルール コンプライアンスステータス変更イベント、および GuardDuty 検出結果からのすべてのセキュリティ通知を集約します。

  • ドリフト通知 - このトピックでは、ランディングゾーン内のすべてのアカウント、ユーザー、OU、および SCP で検出されたすべてのドリフト警告が集約されます。ドリフトの詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。

メンバーアカウント内でトリガーされる監査通知では、ローカルの Amazon SNS トピックにアラートを送信することもできます。この機能により、アカウント管理者は個々のメンバーアカウントに固有の監査通知をサブスクライブできます。そのため、管理者は個々のアカウントに影響する問題を解決しながら、一元管理された監査アカウントにすべてのアカウント通知を集約できます。詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

監査アカウントで使用できるロールとリソースの詳細については、「アカウントリソースを監査する」を参照してください。

プログラムによる監査の詳細については、「AWS Control Tower 監査アカウントのプログラムによるロールおよび信頼関係」を参照してください。

重要

監査アカウントに対して指定した E メールアドレス宛てに、AWS Control Tower でサポートされているすべての AWS リージョン から「AWS 通知 – サブスクリプションの確認」という件名の E メールが届きます。監査アカウントでコンプライアンス E メールを受信するには、AWS Control Tower で AWS リージョン サポートされている各 E メールからサブスクリプションの確認リンクを選択する必要があります。